アカウント乗っ取りは、金融アプリ、決済アプリ、EC、会員サービス、SNS、ポイントサービスなど、多くのオンラインサービスで問題になっている不正被害です。
アカウント乗っ取りとは、第三者が本人になりすましてアカウントにアクセスし、登録情報の変更、不正送金、不正決済、ポイント利用、個人情報の閲覧などを行うことです。
一見すると「不正ログイン」と同じように見えますが、厳密には少し違います。
不正ログインは、第三者が本人以外のアカウントに不正にログインする行為です。
一方、アカウント乗っ取りは、不正ログイン後にアカウントを支配し、本人になりすまして操作する状態まで含みます。
IPAは不正ログイン被害への対策として、パスワードの作成・管理方法と多要素認証の設定について情報提供しています。
また、警察庁も不正アクセス被害の防止策として、OSやソフトウェアを最新に保つこと、ID・パスワードを適切に管理すること、ウイルス対策ソフト等の導入を挙げています。
金融アプリ・決済アプリ・会員アプリを運営する企業では、ログインを守るだけでなく、乗っ取られた後に何をされるかまで想定した対策が必要です。
アカウント乗っ取りとは
アカウント乗っ取りとは、第三者が正規ユーザーになりすましてアカウントを操作する不正行為です。
たとえば、次のような被害が考えられます。
| 被害例 | 内容 |
|---|---|
| 登録情報の変更 | メールアドレス、電話番号、住所などを変更される |
| パスワード変更 | 本人がログインできない状態にされる |
| 不正送金 | 銀行口座や決済残高から資金を移動される |
| 不正決済 | 保存済みカードや決済手段を悪用される |
| ポイント不正利用 | ポイントやクーポンを勝手に使われる |
| 個人情報閲覧 | 氏名、住所、取引履歴、本人確認情報などを見られる |
| なりすまし投稿 | SNSやメッセージ機能で本人を装われる |
| 端末追加 | 攻撃者の端末を正規端末として登録される |
特に金融・決済アプリでは、アカウント乗っ取りが不正送金や不正決済に直結します。
ECや会員アプリでも、保存済みカード、ポイント、個人情報、注文履歴などが悪用される可能性があります。
不正ログインとアカウント乗っ取りの違い
不正ログインとアカウント乗っ取りは似ていますが、見るべき範囲が違います。
| 項目 | 不正ログイン | アカウント乗っ取り |
|---|---|---|
| 主な意味 | 第三者が不正にログインすること | ログイン後に本人になりすまして操作すること |
| 発生段階 | ログイン時 | ログイン後も含む |
| 主なリスク | アカウントへの侵入 | 登録変更、送金、決済、情報窃取 |
| 対策の中心 | 認証、MFA、不正ログイン検知 | 認証、重要操作監視、取引制御、復旧対応 |
| 企業側の課題 | ログインを止める | 乗っ取られても被害を拡大させない |
つまり、不正ログイン対策はアカウント乗っ取り対策の一部です。
アカウント乗っ取りを防ぐには、ログイン認証だけでなく、ログイン後の操作監視、登録情報変更の制御、取引監視、通知、復旧フローまで含めて考える必要があります。
アカウント乗っ取りが起きる主な流れ
アカウント乗っ取りは、いきなり発生するわけではありません。
多くの場合、次のような流れで進みます。

特に多い入口は、フィッシング、パスワード使い回し、パスワードリスト攻撃です。
OWASPは、クレデンシャルスタッフィングについて、盗まれたユーザー名・パスワードの組み合わせをログインフォームへ自動投入し、不正にアカウントへアクセスしようとする攻撃だと説明しています。
同じID・パスワードを複数サービスで使い回しているユーザーがいる限り、企業側は「正しいパスワードでログインしているから本人」とは言い切れません。
アカウント乗っ取りの主な手口
1. フィッシングによる認証情報の窃取
もっとも代表的な手口がフィッシングです。
金融機関、決済サービス、配送会社、ECサイトなどを装ったメールやSMSから偽サイトへ誘導し、ID・パスワード、ワンタイムパスワード、認証コードなどを入力させます。
金融庁は、金融機関を騙ったフィッシングによる不正送金・不正取引被害が増加しているとして、フィッシング耐性のある多要素認証の導入等に関する広報を行っています。
フィッシングで認証情報を盗まれると、不正ログインからアカウント乗っ取りへ進む可能性があります。
2. パスワードリスト攻撃
パスワードリスト攻撃は、他サービスから漏えいしたID・パスワードの組み合わせを使って、別のサービスへのログインを試す手口です。
ユーザーが複数サービスで同じパスワードを使い回している場合、攻撃者はその組み合わせでログインできる可能性があります。
OWASPも、他サービスから盗まれた認証情報が使い回されている場合、複数のサイトでアカウントが侵害される可能性があると説明しています。
企業側では、ユーザーのパスワード管理だけに依存せず、異常なログイン試行を検知する仕組みが必要です。
3. マルウェア・不正アプリによる情報窃取
ユーザー端末に不正アプリやマルウェアが存在する場合、ログイン情報や認証コードが盗まれる可能性があります。
特にモバイルアプリでは、次のようなリスクも考えられます。
- 画面オーバーレイ
- キーロガー
- 不正なアクセシビリティ機能の悪用
- 偽アプリ
- 改ざんアプリ
- Root化・Jailbreak端末上での不正操作
この場合、サーバー側から見ると正しいID・パスワードでログインしているように見えることがあります。
そのため、端末リスクやアプリ実行環境の確認も重要になります。
4. SMS認証・OTPの突破
SMS認証やワンタイムパスワードは、不正ログイン対策として有効です。
しかし、フィッシングサイトに認証コードまで入力させられると、攻撃者がリアルタイムに正規サービスへ入力する可能性があります。
そのため、SMS認証やOTPを導入していても、アカウント乗っ取りを完全に防げるわけではありません。
金融アプリ・決済アプリでは、重要操作時の追加認証や、フィッシング耐性のある認証方式も検討する必要があります。
5. 端末変更・登録情報変更の悪用
アカウント乗っ取りで特に注意したいのが、ログイン後の登録情報変更です。
攻撃者は、ログインに成功した後、次のような操作を行う可能性があります。
- メールアドレス変更
- 電話番号変更
- パスワード変更
- 送金先登録
- 出金先口座変更
- 端末追加
- 通知先変更
これらの操作を許してしまうと、本人が異常に気づきにくくなり、復旧も難しくなります。
アカウント乗っ取りで企業に起きる影響
アカウント乗っ取りは、ユーザー個人の被害だけではありません。
企業側にも大きな影響があります。
1. 金銭被害・補償対応が発生する
金融アプリや決済アプリでは、不正送金や不正決済が発生すると、補償対応や調査対応が必要になります。
ECやポイントサービスでも、不正購入、ポイント利用、クーポン利用などの被害が発生する可能性があります。
2. カスタマーサポート負荷が増える
アカウント乗っ取りが発生すると、問い合わせ対応、本人確認、利用停止、復旧対応、調査、再発防止案内などが必要になります。
特に大規模に発生すると、CS部門の負荷が急激に増えます。
3. ブランド信頼が低下する
ユーザーから見ると、「自分のアカウントが勝手に使われた」という事実はサービスへの不信につながります。
たとえ原因がユーザー側のパスワード使い回しであっても、企業側のセキュリティ体制が問われる可能性があります。
4. 離脱やCVR低下につながる
セキュリティ対策が弱いと不安になりますが、逆に認証が煩雑すぎてもユーザーは離脱します。
つまり、アカウント乗っ取り対策では、セキュリティとUXのバランスが重要です。
企業が確認すべきアカウント乗っ取り対策
1. 不正ログインを検知できるか
まず重要なのは、不正ログインの兆候を検知できるかです。
次のようなログインはリスクシグナルになります。
- 普段と違う端末からのログイン
- 普段と違うIPアドレス・地域からのログイン
- 短時間で大量のログイン試行
- 複数アカウントへの連続試行
- 深夜帯など通常と異なる時間帯のログイン
- ログイン直後の登録情報変更
- ログイン直後の高額取引
IPAも、不正ログイン対策として多要素認証の設定を案内しており、ID・パスワードを不正利用されても、それだけではログインできない点で効果があると説明しています。
2. MFA・多要素認証を導入しているか
アカウント乗っ取り対策では、MFAが重要です。
ID・パスワードが盗まれても、追加の認証要素があれば不正ログインを防ぎやすくなります。
ただし、MFAにも種類があります。
| 認証方式 | 注意点 |
|---|---|
| SMS認証 | フィッシングやSIMスワップに注意 |
| OTPアプリ | リアルタイムフィッシングに注意 |
| プッシュ認証 | 誤承認や通知疲れに注意 |
| 生体認証 | 端末連携・復旧設計が重要 |
| パスキー | フィッシング耐性は高いが移行設計が必要 |
重要なのは、「MFAを入れているか」ではなく、どのリスクに対して、どの方式を使うかです。
3. 重要操作時に追加認証しているか
ログイン時だけ認証していても、ログイン後の操作がすべて安全とは限りません。
特に次の操作は、アカウント乗っ取り後に悪用されやすいため、追加認証や一時制限の対象にすべきです。
| 重要操作 | 対策例 |
|---|---|
| パスワード変更 | 既存端末への通知、追加認証 |
| メールアドレス変更 | 変更前メールへの通知、一定時間制限 |
| 電話番号変更 | 強い本人確認、反映遅延 |
| 新規送金先登録 | 追加認証、反映遅延 |
| 出金先口座変更 | 本人確認、取引制限 |
| 高額送金 | リスクベース認証、一時保留 |
| 端末追加 | 既存端末承認、通知 |
アカウント乗っ取り対策では、ログイン成功後も「本人操作とは限らない」と考えることが重要です。
4. 端末リスクを確認しているか
金融アプリ・決済アプリでは、端末の状態もリスク判断に使うべきです。
たとえば、次のような端末はリスクが高い可能性があります。
- Root化端末
- Jailbreak端末
- エミュレーター
- 不正アプリが存在する端末
- 端末情報が頻繁に変化する端末
- 画面オーバーレイが疑われる環境
- マルウェア感染が疑われる環境
端末リスクを確認できれば、不正ログインやアカウント乗っ取り後の重要操作を止めやすくなります。
5. アプリ改ざん・Hookingを検知できるか
モバイルアプリでは、アプリそのものが攻撃対象になることもあります。
改ざんアプリ、リパッケージアプリ、Hooking、不正なデバッグ環境などがある場合、ログイン情報や取引情報が悪用される可能性があります。
モバイル不正対策ラボの見解軸としても、認証だけでなく、端末、アプリ、操作、検知、運用まで分けて見ることが重要だと整理していました。
アカウント乗っ取り対策でも、認証だけではなく、アプリ実行環境まで確認する必要があります。
6. ログイン後の操作を監視しているか
アカウント乗っ取りでは、ログイン後の操作が重要です。
たとえば、次のような組み合わせは高リスクです。
- 新規端末ログイン直後の電話番号変更
- メールアドレス変更直後の高額送金
- パスワード変更後の端末追加
- 新規送金先登録後すぐの送金
- 深夜帯の登録情報変更
- 普段と違う地域からのログイン後の決済
単一の操作だけでは正規ユーザーの可能性もあります。
しかし、複数のリスクシグナルが組み合わさる場合は、追加認証や一時停止を検討すべきです。
7. 検知後の停止・復旧フローがあるか
アカウント乗っ取り対策では、検知して終わりではありません。
検知後に、どう止めるか、どう確認するか、どう復旧するかまで設計する必要があります。
たとえば、次のようなフローです。
- 不審ログイン・重要操作を検知する
- リスクレベルを判定する
- 中リスクなら追加認証を求める
- 高リスクなら操作を一時停止する
- ユーザーへ通知する
- CS・セキュリティ部門が本人確認する
- 必要に応じてアカウントを保護する
- パスワード・認証要素・登録情報を復旧する
- 検知ルールを見直す
警察庁は、アカウント乗っ取り防止・早期発見のチェック項目として、多要素認証の設定、ログイン通知の有効化、パスワード管理などを挙げています。
企業側でも、ユーザーに通知するだけでなく、復旧・再発防止まで含めた運用設計が必要です。
アカウント乗っ取り対策は「入口・認証・端末・操作・運用」で考える
アカウント乗っ取り対策は、1つの対策だけでは不十分です。
次の5つのレイヤーで整理するとわかりやすくなります。
| レイヤー | 主な対策 |
|---|---|
| 入口 | フィッシング対策、パスワードリスト攻撃対策、BOT対策 |
| 認証 | MFA、パスキー、生体認証、リスクベース認証 |
| 端末 | 端末認証、Root化・Jailbreak検知、エミュレーター検知 |
| 操作 | 登録変更監視、送金先追加監視、高額取引制御 |
| 運用 | 通知、停止、本人確認、復旧、ルール改善 |
アカウント乗っ取りは、ログイン時点だけでは判断できません。
入口で防ぎ、認証で確かめ、端末の安全性を見て、ログイン後の操作を監視し、異常があれば止める。
この多層的な考え方が重要です。
金融アプリ・決済アプリで確認したいチェックリスト
アカウント乗っ取り対策を見直す際は、次の項目を確認しましょう。
| 確認項目 | チェック内容 |
|---|---|
| フィッシング対策 | 偽メール・偽SMS経由のログインを想定しているか |
| パスワードリスト攻撃対策 | 大量ログイン試行やBOT的アクセスを検知できるか |
| MFA | ID・パスワードだけに依存していないか |
| フィッシング耐性 | SMS OTP以外の認証方式も検討しているか |
| 端末認証 | 新規端末や端末変更を検知できるか |
| 端末リスク | Root化・Jailbreak・不正アプリを確認できるか |
| アプリ保護 | 改ざん・Hooking・リパッケージを検知できるか |
| 重要操作監視 | 登録変更・送金先追加・高額取引を監視しているか |
| 通知 | ログイン・登録変更・送金時に通知しているか |
| 停止制御 | 高リスク時に操作や取引を一時停止できるか |
| 復旧フロー | 本人確認・認証要素再設定・再発防止が整っているか |
よくあるアカウント乗っ取り対策の落とし穴
ログインできたら本人だと考えている
正しいID・パスワードでログインしていても、本人とは限りません。
フィッシングやパスワードリスト攻撃によって、攻撃者が正しい認証情報を持っている可能性があります。
MFAを入れれば十分だと思っている
MFAは重要ですが、SMS認証やOTPはフィッシングで突破される可能性があります。
ログイン後の重要操作や端末リスクまで見なければ、アカウント乗っ取りを防ぎきれないことがあります。
登録情報変更を軽く扱っている
メールアドレス、電話番号、パスワード、端末情報の変更は、乗っ取り後に悪用されやすい操作です。
これらは単なる設定変更ではなく、高リスク操作として扱うべきです。
復旧フローが弱い
アカウント乗っ取り後の復旧フローが弱いと、再び乗っ取られる可能性があります。
本人確認、認証要素の再設定、端末の確認、ログアウト処理、通知先の確認まで含めて設計する必要があります。
まとめ:アカウント乗っ取り対策はログイン後まで含めて設計する
アカウント乗っ取りとは、第三者が本人になりすましてアカウントを操作する不正行為です。
不正ログインはアカウント乗っ取りの入口であり、乗っ取り対策ではログイン後の操作まで見る必要があります。
特に金融アプリ・決済アプリ・会員アプリでは、次の観点が重要です。
- フィッシングやパスワードリスト攻撃を想定する
- ID・パスワードだけに依存しない
- MFAやリスクベース認証を導入する
- 重要操作時に追加認証する
- 端末リスクを確認する
- アプリ改ざんやHookingを検知する
- ログイン後の登録変更・送金・決済を監視する
- 高リスク時に操作を止められるようにする
- 検知後の停止・復旧フローを整備する
アカウント乗っ取り対策は、単なるログイン強化ではありません。
ログイン前、ログイン時、ログイン後、復旧時まで含めて、アカウントを守る仕組みを設計することが重要です。
FAQ
アカウント乗っ取りとは何ですか?
アカウント乗っ取りとは、第三者が本人になりすましてアカウントを操作する不正行為です。登録情報の変更、不正送金、不正決済、ポイント不正利用、個人情報閲覧などにつながる可能性があります。
不正ログインとアカウント乗っ取りの違いは何ですか?
不正ログインは、第三者が不正にアカウントへログインすることです。アカウント乗っ取りは、不正ログイン後に本人になりすましてアカウントを操作する状態まで含みます。
アカウント乗っ取りはなぜ起きるのですか?
主な原因は、フィッシング、パスワード使い回し、パスワードリスト攻撃、マルウェア、不正アプリ、SMS認証コードの詐取などです。正しいID・パスワードが使われていても、本人とは限りません。
MFAを導入すればアカウント乗っ取りは防げますか?
MFAは有効ですが、それだけで完全に防げるわけではありません。SMS認証やOTPはフィッシングで突破される可能性があります。重要操作時の追加認証、端末リスク検知、ログイン後の操作監視も必要です。
企業が優先して行うべき対策は何ですか?
まずは、不正ログイン検知、MFA、重要操作時の追加認証、登録情報変更の監視、端末リスク確認、検知後の停止・復旧フローを整えることが重要です。